Beskriv Microsoft Defender for Identity

  • 4 minuter

Microsoft Defender for Identity är en molnbaserad säkerhetslösning som använder signaler från dina lokala identitetsinfrastrukturservrar för att identifiera hot, till exempel eskalering av privilegier eller lateral förflyttning med hög risk, och rapporter om problem med lättanvänd identitet.

På hög nivå fungerar Microsoft Defender for Identity på följande sätt:

  • Microsoft Defender for Identity använder programvarubaserade sensorer som är installerade på dina lokala identitetsinfrastrukturservrar (domänkontrollanter och servrar som kör Active Directory Federated Services och Active Directory Certificate Services).

  • Defender for Identity-sensorn kommer åt de händelseloggar som krävs direkt från servrarna. När loggarna och nätverkstrafiken parsas av sensorn skickar Defender for Identity endast den parsade informationen till molntjänsten Defender for Identity. Microsoft Defender for Identity använder de data/signaler som erhålls för att leverera en lösning för identifiering och svar av identitetshot (IDTR). Microsoft Defender for Identity hjälper säkerhetspersonal, hantering av en hybridmiljö, funktioner för att:

    • Förhindra överträdelser genom att proaktivt utvärdera din identitetsstatus.
    • Identifiera hot med hjälp av realtidsanalys och dataintelligens.
    • Undersök misstänkta aktiviteter med hjälp av tydlig, åtgärdsbar incidentinformation.
    • Svara på attacker med hjälp av automatiskt svar på komprometterade identiteter.

  • Konfigurationen av tjänsten och de signaler och insikter som genereras av tjänsten Microsoft Defender for Identity exponeras via Microsoft Defender-portalen som ger säkerhetsteam en enhetlig upplevelse för att undersöka och svara på attacker.

Ett diagram över Defender for Identity. Diagrammet visar en domänkontrollant och AD FS som skickar och signalerar till Defender for Identity. Defender for Identity skickar och tar emot signaler från Microsoft Defender XDR, som hämtar signaler från slutpunkter, Office 365 och molnappar.

Utvärdera din identitetsstatus proaktivt

Defender for Identity ger dig en tydlig vy över din identitetssäkerhetsstatus, vilket hjälper dig att identifiera och lösa säkerhetsproblem innan de kan utnyttjas av angripare. Till exempel övervakar Microsoft Defender for Identity kontinuerligt din miljö för att identifiera känsliga konton med de mest riskfyllda laterala rörelsevägarna som exponerar en säkerhetsrisk och rapporterar om dessa konton för att hjälpa dig att hantera din miljö. Säkerhetsutvärderingar för Defender for Identity, som är tillgängliga från Microsoft Secure Score, ger extra insikter för att förbättra organisationens säkerhetsstatus och principer.

Identifiera hot med hjälp av realtidsanalys och dataintelligens

Defender for Identity övervakar och analyserar användaraktiviteter och information i nätverket, inklusive behörigheter och gruppmedlemskap, vilket skapar en beteendebaslinje för varje användare. Defender for Identity identifierar sedan avvikelser med anpassningsbar inbyggd intelligens. Den ger insikter om misstänkta aktiviteter och händelser, avslöjar avancerade hot, komprometterade användare och insiderhot som din organisation står inför. Defender for Identity identifierar dessa avancerade hot vid källan i hela cyberattackens kill-chain:

  • Rekognosering – Identifiera obehöriga användare och angripares försök att få information.
  • Komprometterade autentiseringsuppgifter – Identifiera försök att kompromettera användarautentiseringsuppgifter med råstyrkeattacker, misslyckade autentiseringar, ändringar av användargruppsmedlemskap och andra metoder.
  • Laterala rörelser – Identifiera försök att röra sig i sidled i nätverket för att få ytterligare kontroll över känsliga användare.
  • Domändominans – Visa angriparens beteende om hotaktörer får kontroll över Active Directory, som kallas domändominans, via fjärrkörning av kod på domänkontrollanten eller andra metoder.

Undersöka aviseringar och användaraktiviteter

Defender for Identity är utformat för att minska det allmänna aviseringsbruset och ger endast relevanta, viktiga säkerhetsaviseringar i en enkel tidslinje för organisationsattacker i realtid.

Använd Defender for Identity-attacktidslinjevyn och den intelligenta smarta analysen för att hålla fokus på det som är viktigt. Du kan också använda Defender for Identity för att snabbt undersöka hot och få insikter i hela organisationen för användare, enheter och nätverksresurser.

Microsoft Defender for Identity skyddar din organisation från komprometterade identiteter, avancerade hot och skadliga insideråtgärder.

Åtgärder

Microsoft Defender for Identity har stöd för reparationsåtgärder som ska utföras direkt på dina lokala identiteter. Exempel:

  • Inaktivera användare i Active Directory: Detta förhindrar tillfälligt att en användare loggar in i det lokala nätverket. Detta kan hjälpa till att förhindra att komprometterade användare rör sig i sidled och försöker exfiltera data eller ytterligare kompromettera nätverket.

  • Återställ användarlösenord – Detta uppmanar användaren att ändra sitt lösenord vid nästa inloggning, vilket säkerställer att det här kontot inte kan användas för ytterligare personifieringsförsök.

Beroende på dina Microsoft Entra-ID-roller kan du se ytterligare Microsoft Entra-ID-åtgärder, till exempel att kräva att användare loggar in igen och bekräftar att en användare har komprometterats.

Microsoft Defender for Identity i Microsoft Defender-portalen

Microsoft Defender for Identity upplevs via Microsoft Defender-portalen. Defender-portalen är startplatsen för övervakning och hantering av säkerhet i dina Microsoft-identiteter, data, enheter, appar och infrastruktur, så att säkerhetsadministratörer kan utföra sina säkerhetsuppgifter på en plats.

Noden Identiteter i den vänstra navigeringspanelen i Microsoft Defender-portalen innehåller följande:

  • Instrumentpanelen för Microsoft Defender for Identity ger viktiga insikter och realtidsdata om identifiering och svar av identitetshot (ITDR).

  • På sidan problem med hälsotillstånd visas eventuella aktuella hälsoproblem för din Defender for Identity-distribution och sensorer, där du varnas om eventuella problem i din Defender för identitetsdistribution.

  • På verktygssidan visas ytterligare information som hjälper dig att hantera din Microsoft Defender for Identity-miljö. Exempel är ett beredskapsskript som du kan köra för att avgöra om alla krav för Microsoft Defender for Identity finns på plats, en PowerShell-modul med en samling funktioner som hjälper dig att konfigurera och verifiera din miljö för att arbeta med Microsoft Defender for Identity med mera.

Inställningar, behörigheter, incidenter och aviseringar, rapporter och andra funktioner är också tillgängliga via Microsoft Defender-portalen. Mer information finns i lektionen "Beskriv Microsoft Defender-portalen" som ingår i den här modulen.